Zu den spannenden Begleiterscheinungen, wenn man in doppelter Funktion als CTO und CISO bei BeyondTrust arbeitet, zählen Konferenzbesuche als Hersteller (CTO) und zugleich als potentieller Sicherheitskunde (CISO). Das sprichwörtliche Tragen mehrerer Hüte bedeutet konkret, dass ich in der CTO-Rolle berichte, wie unsere Lösungen verschiedene Sicherheitsherausforderungen lösen können — dabei geht es um Themen wie Benutzerprivilegien, privilegierte Zugriffe, Identitäts- und Schwachstellenmanagement. Trage ich den CISO-Hut hingegen, möchte ich alles über neueste Sicherheitsbedrohungen and -risiken erfahren, um die richtige Strategie zur (kosten)effektiven Absicherung unseres Unternehmens entwickeln zu können.

Die zentrale Herausforderung für die Cybersicherheit ist, dass selbst ein CISO mit unbegrenzten Ressourcen zum Schutz einer Organisation von einem Sicherheitsvorfall betroffen sein kann. Zum IT-Risikomanagement gehört es, potentielle Risiken verstehen und kontrollieren zu können. Erfolgreich ist man dann, wenn Risiken im Rahmen eines begrenzten Budgets so weit wie möglich minimiert werden. Es bleibt (zumindest aktuell) immer noch ein Restrisiko, aber damit muss man wohl leben müssen (und die Gefahren trotzdem bestmöglich eingrenzen).

Beim Besuch des diesjährigen „Gartner Security & Risk Management Summit (SRM) 2019“ in Washington, D.C., war das nicht viel anders. Einerseits habe ich erfreut zur Kenntnis genommen, welche Reputation sich BeyondTrust durch branchenführende und erfolgreiche Lösungen gegenüber dem Wettbewerb erarbeitet hat. Und andererseits blieb mir auch nicht verborgen, dass einige Sicherheits-Tools mit unglaublich komplexen Implementierungsvorgaben, unbewiesenen Annahmen und unpraktischen Technologien ausgeliefert werden, die sich negativ auf die Nutzung, Dauer und Effizienz im Firmeneinsatz auswirken können. Jeder CISO stellt sich dann zwangsläufig die Frage, ob man Erstanwender, Visionär oder Nachzügler sein sollte. Der Aufwand für die Implementierung, anfallende Zusatzkosten und der langfristige Nutzen bei der Beseitigung von IT-Risiken sind für alle CISOs grundsätzliche Hauptgedanken.

Welche Erkenntnisse konnte ich also von der Konferenz mitnehmen? Von der Keynote-Präsentation blieb mir als CTO vor allem eine Folie im Gedächtnis — die „Top 10 der Sicherheitsprojekte 2019“ nach Einschätzung von Gartner sind:

Für einen IT-Sicherheitsanbieter wie BeyondTrust ist es natürlich eine besondere Motivation, wenn mit Privileged Access Management (PAM) das eigene Hauptbetätigungsfeld auf der Prioritätenliste ganz oben ausgewiesen wird. Und ja, es ist schon ein gutes Gefühl, auf den Rücken geklopft zu werden; aber wir wollen bescheiden bleiben, denn Privileged Access Management wurde nicht immer diese Bedeutung beigemessen. Schließlich gibt es PAM-Produkte bereits seit 1985, aber erst in den vergangenen Jahren hat dieser Angriffsvektor eine besondere Brisanz entwickelt, weil immer mehr Angreifer die Kontrolle über Accounts, IT-Ressourcen und IT-Assets einer Organisation gewinnen wollen.

Als CISO habe ich aber auch ein paar weitere Anmerkungen zu dieser Rangliste:

Abschlussgedanken zum Gartner-SRM-Event

Was mir auf dem Gartner SRM Summit außerdem noch aufgefallen ist:

Mehr Informationen über BeyondTrust (Leader im Gartner Magic Quadrant for PAM) sind im Web abrufbar und betreffen insbesondere die Punkte 1 (PAM) und/oder 2 (Priorisiertes Vulnerability Management) auf der Gartner-Liste der wichtigsten Sicherheitsprojekte 2019 — kontaktieren Sie uns.